JolaLuba: takze zjednodusene receno, v listingu nacitas obrazek o rozmerem 0x0 pixelu ze sveho webu a pres ten si logujes ty, co koukaji na listing.
<img src="http://luvan.xf.cz/_gcspy.php?id=Obejmi" width="0" height="0" /></span>
A z toho sis porovnal IP adresu Tiskare s tebou zalogovanou. Pokud nebyl listing aktivni, tak je samozrejme na snade otazka, jakpak asi mohl Tiskar nacist tvuj listing (potazmo ten PHP skript), kdyz ta cache nemela byt vubec videt. Osobne to bude jako dalsi z dukazu proti nemu - kdyz je navic tak hloupej, ze takovyhle veci dela ze sve IP.
Jinak co se tyce samotneho systemu, zejmena API, tak to je derave jak cednik. Kdyz jsem se v tom jeste sam vrtal, tak nemeli vubec poresene CloseSession. I presto, ze byl tento prikaz vyvolan, tak sessionToken (ktery se generuje pri prvnim prihlaseni) byl porad totozny. Tim chci rict nasledujici, pokud tato dira neni vyresena, tak klidne muze dotycny clovek mit jeste stary login nejakeho reviewera, respektive z nej jeho sessionToken a i pokud si dotycny zmeni do budoucna heslo, tak jeho puvodni (respektive puvodni, ale zaroven jediny) sessionToken je porad platny a muze pres nej "delat neplechu". Nicmene jak rikam, tohleto je vec dost stara, kdo tomu rozumi, muze to proverit. Nicmene bych se nedivil, kdyby to GS stale nevyresil.